Dette dokumentet[1] gir virksomhetene retningslinjer for hvordan avtalen bør brukes. Riktig bruk av tjenestene og avtalen er sentral for virksomhetenes realisering av forbedret informasjonssikkerhet ved bruk av Cyber Risk Score.
Om rammeavtalen
Direktoratet for forvaltning og økonomistyring (DFØ) ved Markedsplassen for skytjenester (MPS) har inngått avtale om måling av informasjonssikkerhet på internett med KPMG AS som leverer skytjenesten RiskRecon by Mastercard.
Rammeavtalen er ikke-eksklusiv og frivillig å bruke for virksomheter i sivil sektor som er omfattet av DFØs fullmakt[2].
Hva er Cyber Risk Score?
Cyber Risk Score er en metode for å kvantifisere og vurdere en virksomhets eksponering for cybertrusler sett fra internett. Det er numeriske verdier som reflekterer risikoen for en virksomhet basert på ulike faktorer, for eksempel sårbarheter i infrastrukturen, historiske data om sikkerhetsbrudd og organisasjonens evne til å håndtere sikkerhetshendelser. Tjenesten gir et bilde på virksomhetens sikkerhetshygiene sett fra internett og hjelper virksomheten med å prioritere tiltak for å beskytte seg mot potensielle trusler.
Cyber Risk Score er et verdifullt verktøy for virksomheter som ønsker å styrke sin evne til å identifisere, vurdere og håndtere cybertrusler.
Gratis prøveperiode og onboarding
Leverandøren tilbyr en gratis prøveperiode på tre -3- måneder. Prøveperioden starter fra virksomhetens første innlogging på administratorkontoen. Virksomhetene mottar innloggingsdetaljer til administratorkontoen etter at utfylt avropsskjema er sendt til leverandør. Virksomheten får umiddelbar tilgang til all relevant funksjonalitet og onboarding-materiale. Virksomheten kan innen 60 dager terminere avtalen i prøveperioden. Den innledende kontraktsperioden består dermed av tre måneder gratis prøveperiode etterfulgt av en 12-måneders betalt periode, til sammen 15 måneder.
Leverandøren tilbyr en gratis prøveperiode på tre måneder. Virksomhetene anbefales å benytte seg av prøveperioden, evaluere tjenesten og gjøre klart til videre bruk.
Virksomheter som ikke ønsker å fortsette bruken må innen 60 dager fra første pålogging varsle leverandøren om terminering for å unngå å måtte betale for tjenesten.
Varighet
Rammeavtalen gjelder i to år fra 1. september 2024 med opsjoner på forlengelse inntil to år, totalt fire år.
Avropskontrakten varer i 15 måneder (3 måneder gratis prøveperiode + 12 måneders lisens) fra dagen avropskontrakten signeres. Så lenge rammeavtalen ikke er sagt opp eller utløpt, kan avropskontrakten forlenges med 12 måneder av gangen. Den samlede varigheten kan ikke overstige 48 måneder, ekskludert prøveperioden.
Brukerne av rammeavtalen
Rammeavtalen er åpen for offentlige virksomheter i sivil sektor som er omfattet av DFØs fullmakt, samt 135 kommuner og fylkeskommuner som er tilsluttet avtalen som opsjon. Opsjonen vil bli utløst så snart nødvendige avklaringer foreligger.
Liste over virksomheter som er omfattet av avtalen finner du her:
Avrop
Virksomheter som ønsker å ta i bruk Cyber Risk Score, bes ta direkte kontakt med leverandøren for alle spørsmål vedrørende pris, avrop, oppstart og tekniske spørsmål. Henvendelser rettes til cyberriskscore@kpmg.no.
For ytterlig informasjon om tjenesten se her, Hva er din Cyber Risk Score? - KPMG Norge
Hvordan forbedre informasjonssikkerheten ved bruk av CRS?
Roller og ansvar
Markedsplassen for skytjenester (MPS)
MPS er avtaleeier med ansvar for den sentrale avtaleforvaltningen. Avtaleeier følger opp at leverandøren oppfyller kontraktsvilkårene, og har ansvar for å gi virksomhetene veiledning om hvordan avtalen skal brukes. MPS bistår også den enkelte virksomhet ved eventuelle avvik/utfordringer med avtalen.
Virksomhetene
Virksomhetene er ansvarlige for riktig bruk av tjenesten. Den enkelte oppdragsgiver/virksomhet er ansvarlig for den lokale avtaleforvaltningen, herunder å følge opp kontraktsvilkår, brukerhåndtering m.m.
Leverandøren
Leverandøren er ansvarlig for å levere tjenesten fra RiskRecon, teknisk support, veiledning m.m. iht kontraktsvilkårene i hele kontraktsperioden. Leverandøren skal sikre at virksomhetene får tilgang til nødvendig dokumentasjon og ressurser, som opplæringsmateriell mv.
Kontaktinformasjon
Kristina Nikolajeva
E-post: kristina.nikolajeva@dfo.no
cyberriskscore@kpmg.no (klikk her)
Du er kanskje også interessert i...
(link kommer)
[1] Rammedokument
[2] Ved å inngå denne avtalen og ta i bruk tjenesten, godtar virksomheten at virksomhetens cyberriskscore kan deles med nasjonale og sektorspesifikke sikkerhetsmyndigheter for å overvåke og håndtere informasjonssikkerhet på nasjonalt nivå jf. Appendix 5.2 (Order Form), pkt. 1.3.2.